Quand même, parfois, je me demande comment font certains sites pour être aussi stupides. Et surtout, je me demande comment ils arrivent à survivre malgré cela.
Donc, voici la petite histoire qui m'est arrivée aujourd'hui. Je consulte ma boîte mail, et là, je vois ma sœur qui me remercie pour ma carte de vœux "virtuelle" que je viens de lui envoyer. Rien d'étonnant, après tout, c'est la saison. Sauf que je ne lui ai jamais envoyé cette carte de vœux…
Après avoir pris connaissance du contenu de la carte, je finis par comprendre qu'en fait il s'agit d'une carte de vœux cybercartes.com envoyée par mes parents à destination de leur fils et de leur fille. Mais ils se sont trompés en remplissant les champs des mails, et ils ont mis mon mail en tant qu'expéditeur, au lieu de destinataire.
Et là, je me dis que non, quand même, un site un minimum connu ne peut pas laisser les gens envoyer aussi facilement des cartes de vœux sans vérifier que l'expéditeur possède bien l'adresse mail de soi-disant expédition, qu'il faut au minimum un clic de validation depuis la boîte mail d'expédition.
Je fais un petit test. Ah ben non, rien, aucune validation. On peut envoyer une carte de vœux virtuelle à n'importe qui en mettant comme adresse d'expéditeur n'importe qui. Les lecteurs de ce journal savent faire la différence entre un message de bonne année venant directement de machin@bidule et un mail venant de xxx.com indiquant que machin@bidule vous envoie un message de bonne année. Mais combien de gens sont capables de faire la nuance ? Dans la grande majorité des cas (comme pour ma sœur), le destinataire croira que ça vient vraiment de l'expéditeur. Bref, une usurpation d'identité très simple à mettre en œuvre à travers un site connu.
En plus, on peut inventer des messages machiavéliques, plus difficiles à nier par le faux expéditeur, comme envoyer à Fernande, de la part de son petit copain Léon, une carte de vœux "Je t'aime, Raymonde".
Bon, voilà, c'était pour dénoncer ce genre de sites qui ne prennent pas le temps d'implémenter un processus de validation de la soi-disant adresse expéditeur. Et aussi pour donner des idées de farce aux lutins qui hantent ce site.
# Un peu comme une carte postale en fait
Posté par Goffi (site web personnel, Mastodon) . Évalué à 10.
non ?
PS: bonne année toussa toussa
[^] # Re: Un peu comme une carte postale en fait
Posté par muchos (site web personnel) . Évalué à -4.
Oui, mais non.
Debug the Web together.
[^] # Re: Un peu comme une carte postale en fait
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
Comme une lettre normale plutôt, sur laquelle on peut :
Sur une carte postale, il n'y a pas d'enveloppe, ni de champ d'expéditeur à vrai dire, seulement une signature…
[^] # Re: Un peu comme une carte postale en fait
Posté par Yukito (site web personnel) . Évalué à 1.
Oui, tout à fait. A ceci près que dans le cas des cartes postales réelles, il y a quand même le cachet de la poste indiquant la date et le lieu d'envoi, et l'écriture manuscrite qui n'est pas si facile que ça à imiter. Du coup, ça demande un effort assez important pour faire une fausse lettre. Là, c'est tellement simple que mes parents usurpent mon identité par mégarde :-)
[^] # Re: Un peu comme une carte postale en fait
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 6.
Beaucoup de gens regardent le cachet de la Poste ? Ça tombe bien, il y a la même chose avec le courrier électronique, ce sont les en-têtes Received.
[^] # Re: Un peu comme une carte postale en fait
Posté par lolop (site web personnel) . Évalué à 2.
Le cachet de la poste est visible.
Les champs d'en-tête Received sont masqués dans 99,99999% des cas, il faut connaître leur existence pour rechercher la façon de les afficher.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Un peu comme une carte postale en fait
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4.
Le cachet de la Poste est souvent illisible, et il faut penser à le regarder. Combien de gens savent qu'il existe et le regardent effectivement avant de jeter l'enveloppe ? Un champ Received sur un message, il suffit d'indiquer à quelqu'un comment le regarder et il pourra le faire.
L'important n'est pas ce que les gens font mais ce qu'ils peuvent faire. Pour la liberté d'expression par exemple, l'important n'est pas que les gens disent n'importe quoi mais qu'ils puissent le faire. Autre exemple avec les DRM : le problème n'est pas que les vendeurs les mettent en œuvre de façon nuisible pour leurs clients (en supprimant des contenus à distance par exemple) mais qu'ils puissent le faire.
# SPF/DKIM et ADSP ou DMARC
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
C'est un cas d'usurpation d'adresse électronique en somme. Ça tombe bien, on a développé des systèmes pour lutter contre cela. Tu peux, au choix :
Déjà, ça permettra que les destinataires, ou plutôt les serveurs des destinataires, puissent identifier tes messages comme étant certainement valides. Ensuite, tu peux même leur indiquer ce qu'ils doivent faire avec les messages non autorisés par SPF ou non signés par DKIM, en publiant :
En pratique, DKIM ADSP permet de demander de choses comme : jetez tous les messages qui semblent provenir de chez moi mais ne sont pas signés par DKIM. Et DMARC permet de demander des choses comme : jetez tous les messages qui semblent provenir de chez moi mais ne sont pas authentifiés par SPF ou DKIM.
[^] # Re: SPF/DKIM et ADSP ou DMARC
Posté par xouillet . Évalué à 10. Dernière modification le 02 janvier 2013 à 17:52.
Tout ça me paraît très simple et correspond bien au fait que le journal relate le fait que Mme Michu aura du mal à faire la différence entre une usurpation ou non et aussi à ne pas se faire usurper.
Je proposerai donc aux personnes de ma famille de mettre en place « une politique DMARC, qui a l'avantage d'être valable pour SPF ou DKIM »
[^] # Re: SPF/DKIM et ADSP ou DMARC
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
C'est le boulot de l'administrateur du serveur et du nom de domaine, pas celui des utilisateurs.
[^] # Re: SPF/DKIM et ADSP ou DMARC
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4. Dernière modification le 02 janvier 2013 à 18:13.
Une fois SPF ou DKIM et DMARC en place, elle y arrivera très bien en effet : les messages usurpés, elle ne les recevra plus du tout. Enfin, si son fournisseur a mis en place DMARC côté réception.
[^] # Re: SPF/DKIM et ADSP ou DMARC
Posté par lolop (site web personnel) . Évalué à 2.
"Si"
tout est là
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: SPF/DKIM et ADSP ou DMARC
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Mais c'est pareil pour tout hein. On a des mesures contre pas mal d'abus, mais elles ne marchent que si les gens jouent le jeu, c'est normal ça. Si ta banque ne vérifie pas tes chèques, eh bien c'est balo, mais tu n'es pas responsable de ça.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: SPF/DKIM et ADSP ou DMARC
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4.
Pour OpenDKIM : http://wiki.auto-hebergement.fr/services/dkim .
Pour OpenDMARC : ça n'existe pas à ma connaissance. Côté expéditeur, DMARC ne demande aucun logiciel, seulement la publication d'un enregistrement DNS pour indiquer sa politique. Côté réception, ça demanderait un milter qui passerait après un milter de vérification SPF et un milter de vérification DKIM. Ou qui ferait cela en interne.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: SPF/DKIM et ADSP ou DMARC
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Ah, excellent, j'ignorais que cela avait déjà été mis en œuvre. Ce milter sert donc à mettre en place DMARC côté réception, pour appliquer les politiques publiées par les administrateurs des noms de domaines des messages que l'on reçoit.
Site officiel de la future norme DMARC, pas de sa mise en œuvre libre OpenDMARC, hein.
[^] # Re: SPF/DKIM et ADSP ou DMARC
Posté par barmic . Évalué à 2.
Ça veux dire aussi que tu paie ta carte pour qu'elle parte dans un /dev/null quelconque…
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
# sitepourri -> pourriel
Posté par ekyo . Évalué à 10.
C'est surtout votre mail qui les intéresse, peu importe l'identité.
Je te laisse regarder le nombre de merdouilles que toi et tes parents allez recevoir dans les jours à venir.
# Un peu comme un email en fait
Posté par Gregory Colpart (site web personnel) . Évalué à 6.
SPF et DKIM étant encore peu vérifié, c'est un peu comme un email où l'on peut déjà mettre l'expéditeur que l'on veut, non ? Vouloir masquer cela c'est une sorte de sécurité par l'obscurité… surtout que dans ce cas il ne s'agit pas de forger l'adresse expéditrice mais simplement d'indiquer l'expéditeur déclaré dans les entêtes et le corps du message.
D'autres systèmes permettent techniquement de déclarer l'expéditeurs que l'on veut : les lettres postales (comme souligné dans un commentaire précédent), les SMS ou même le téléphone. Ça me semble + embêtant de pouvoir téléphoner chez Mme Michu en se faisant passer pour le 17 que de pouvoir lui envoyer une carte de vœux qui indique qu'elle vient de la part d'un autre !
[^] # Re: Un peu comme un email en fait
Posté par claudex . Évalué à 2.
Ce n'est pas du tout de la sécurité par l'obsucurité. Il demande juste une vérification pour que les gens ne remplissent pas les mauvaises adresse par erreur.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# hm???
Posté par Guillaume Knispel . Évalué à 0.
comme les couriels et le courier postal ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.